- 14 Aprilie 2018
Asia și Orientul Mijlociu - o pepinieră de noi atacatori cibernetici avansați
Pe parcursul primelor trei luni din an, cercetătorii Kaspersky Lab au descoperit un nou val de amenințări avansate și persistente (APT), în special în Asia – peste 30% dintre rapoartele pe T1 au fost dedicate amenințărilor din această regiune. De asemenea, s-a constatat un vârf de activitate în Orientul Mijlociu, cu o serie de noi tehnici folosite de autori. Acestea se numără printre tendințele incluse în cel mai recent rezumat trimestrial Kaspersky Lab al informațiilor despre amenințările cibernetice.
În primul trimestru din 2018, cercetătorii Kaspersky Lab au continuat să detecteze activități cibernetice din partea unor grupuri APT, vorbitoare de limbi cum ar fi rusa, chineza, engleza și coreeana. Și, chiar dacă unii autori foarte cunoscuți nu au avut o activitate demnă de a fi remarcată, în regiunea asiatică au fost detectați noi autori și un număr în creștere de operațiuni APT. Creșterea se explică parțial prin atacul malware Olympic Destroyer, din timpul Jocurilor Olimpice de la Pyeongchang.
S-a remarcat creșterea permanentă a activității grupărilor vorbitoare de limbă chineză, inclusiv a celor reunite în jurul ShaggyPanther, care vizează entitățile guvernamentale în special în Taiwan și Malaysia. De asemenea, cei de la CardinalLizard și-au crescut în 2018 interesul față de Malaysia și, în același timp, și l-au menținut pe cel față de Filipine, Rusia și Mongolia.
A fost înregistrată activitate APT în Asia de Sud, unde entități militare din Pakistan au fost atacate de grupul Sidewinder, descoperit recent.
Gruparea APT IronHusky a încetat, aparent, să mai vizeze entități militare rusești și își concentrează toate eforturile în zona Mongoliei. La sfârșitul lunii ianuarie 2018, această entitate de limbă chineză a lansat o campanie de atacuri împotriva unor organizații guvernamentale din Mongolia, înainte de întâlnirea lor cu Fondul Monetar Internațional (FMI).
Peninsula Coreeană rămâne în vizor. Gruparea APT Kimsuky, care vizează grupurile de dialog și activitățile politice, și-a reînnoit complet arsenalul. Acesta este creat pentru spionaj cibernetic și a fost folosit într-o campanie de phishing direcționat. În plus, o ramură a grupului Lazarus, Bluenoroff, și-a ales noi ținte, printre care companii de criptomonede.
Kaspersky Lab a detectat și un vârf de activitate în Orientul Mijlociu. De exemplu, gruparea APT StrongPity a lansat mai multe atacuri de tip Man-in-the-Middle (MiTM) asupra rețelelor furnizorilor de Internet. Un alt grup cu abilități avansate de infracționalitate cibernetică, Desert Falcons, a recurs din nou la atacarea dispozitivelor Android cu un malware folosit în 2014.
De asemenea, în T1, cercetătorii Kaspersky Lab au descoperit mai multe grupuri care atacă în mod regulat router-e și hardware de rețea în campaniile lor, o abordare adoptată acum câțiva ani de atacatori precum Regin sau CloudAtlas. Potrivit experților, router-ele vor continua să fie o țintă pentru atacatori, ca modalitate de a obține controlul asupra infrastructurii victimei.
„Pe parcursul primelor trei luni din an am văzut o serie de noi grupuri de atacatori cu grade diferite de complexitate, dar care, per ansamblu, foloseau cele mai comune și la îndemână instrumente malware”, a spus Vicente Diaz, Principal Security Researcher în echipa GReAT de la Kaspersky Lab. „În același timp, n-am observat nicio activitate semnificativă din partea unor atacatori foarte cunoscuți. Acest lucru ne face să credem că își regândesc strategiile și își reorganizează echipele pentru atacuri viitoare.”